Spyware Detected

#1 Hallo Zusammen!

Bin Anfänger und brauche dringend Hilfe. Sobald ich den Internet Explorer öffne und die gewünschte Website, öffnen sich ohne Ende andere Internet-Seiten! Passiert teilweise im 30-Sekunden-Rhytmus. Ist ganz schön nervig und ich weiß nicht, wie ich das abstellen soll.

Hab auf Nachfragen schon dieses hijackthis gemacht :-)

Logfile of HijackThis v1.99.1
Scan saved at 20:39:07, on 20.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\Z2FiaQ\command.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\agfguard.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\gabi\Desktop\downloads spiele\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ISDN Guard.lnk = C:\WINDOWS\agfguard.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F83AD358-3351-4377-9190-E708AB83F8A2}: NameServer = 195.247.247.195 62.27.27.62
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\gprol3931.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Z2FiaQ\command.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Ich hoffe dass jemand hiermit schon was anfangen kann. Bin wie gesagt Anfänger und brauche dementsprechend ziemlich eindeutige und unkomplizierte Hilfe.

Vielen Dank schon mal im voraus :-)

#2 Malloci

das ist eine Verseuchung mit Look2me

1.Schritt:
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

auf der Seite ist alles genau erklaert...es sind 4 Logs...wenn du nicht zurechtkommst... frag
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

vielen Dank schon mal für die 1. Anweisungen. Habe die Dateien kopiert und eingefügt.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\system32

22.02.2006 17:22 234.272 guard.tmp
21.02.2006 19:06 2.278 wpa.dbl
21.02.2006 19:02 234.272 dnl8013ue.dll
21.02.2006 19:01 234.272 iwmui.dll
21.02.2006 19:00 235.651 gp00l3dm1.dll
21.02.2006 18:56 235.651 MRIMUSIC.DLL
21.02.2006 18:51 234.272 szrialui.dll
17.02.2006 21:51 2 stera.job
17.02.2006 21:16 100 LuResult.txt
08.02.2006 06:23 4.513.120 MRT.exe
04.02.2006 19:40 23.392 nscompat.tlb
04.02.2006 19:40 16.832 amcompat.tlb
19.01.2006 18:59 192.184 FNTCACHE.DAT
18.01.2006 13:05 57.344 avsda.dll
12.01.2006 11:32 543.496 LegitCheckControl.DLL
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\DOKUME~1\gabi\LOKALE~1\Temp

22.02.2006 17:29 240 datFind.zip
22.02.2006 17:27 16.384 ~DFA7A2.tmp
22.02.2006 17:27 512 ~DF948D.tmp
22.02.2006 17:27 16.384 ~DF9481.tmp
22.02.2006 17:23 16.384 ~DF1FF2.tmp
22.02.2006 17:23 16.384 ~DF909D.tmp
6 Datei(en) 66.288 Bytes
0 Verzeichnis(se), 70.920.790.016 Bytes frei


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS

22.02.2006 13:17 38 MDMahjongg.ini
22.02.2006 12:29 1.903.010 WindowsUpdate.log
22.02.2006 12:23 0 0.log
22.02.2006 12:23 159 wiadebug.log
22.02.2006 12:23 2.290 BRMFBIDI.INI
22.02.2006 12:23 50 wiaservc.log
22.02.2006 12:23 2.048 bootstat.dat
21.02.2006 22:44 32.556 SchedLgU.Txt
20.02.2006 21:06 30.497 KB905915.log
20.02.2006 21:05 56.493 setupapi.log
20.02.2006 20:30 0 nsreg.dat
20.02.2006 20:30 107.134 UninstallFirefox.exe
20.02.2006 20:30 2.266 mozver.dat
17.02.2006 19:12 43 drsmartload2.dat
17.02.2006 19:12 0 winsysupd91.dat
17.02.2006 19:12 0 gimmygames91.dat
17.02.2006 19:00 0 SwSys2.bmp
17.02.2006 19:00 0 SwSys1.bmp
16.02.2006 18:31 923 spupdsvc.log
15.02.2006 22:08 79.575 ntdtcsetup.log
15.02.2006 22:08 58.059 iis6.log
15.02.2006 22:08 132.203 comsetup.log
15.02.2006 22:08 10.689 KB911927.log
15.02.2006 22:08 149.108 tsoc.log
15.02.2006 22:08 20.707 ocmsn.log
15.02.2006 22:08 1.374 imsins.log
15.02.2006 22:08 18.913 msgsocm.log
15.02.2006 22:08 192.169 ocgen.log
15.02.2006 22:08 384.908 FaxSetup.log
15.02.2006 22:08 27.378 updspapi.log
15.02.2006 22:08 7.596 KB911564.log
15.02.2006 22:08 104.696 wmsetup.log
15.02.2006 22:07 7.812 KB911565.log
15.02.2006 22:07 6.658 KB913446.log
04.02.2006 20:47 1.668 cdplayer.ini
04.02.2006 19:42 377 wmsetup10.log
04.02.2006 19:40 1.067.999 setupapi.log.0.old
04.02.2006 19:39 316.640 WMSysPr9.prx
29.01.2006 18:23 10 popcinfo.dat
22.01.2006 11:30 31 wininit.ini
22.01.2006 11:28 229.654 setupact.log
13.01.2006 18:04 10.164 KB908519.log
05.01.2006 22:24 11.022 KB912919.log
02.01.2006 21:24 963 orun32.ini
27.12.2005 16:43 65 Uninstall Spielesammlung.ini
17.12.2005 17:41 10.989 KB910437.log
08.11.2005 20:10 11.878 KB896424.log


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\

22.02.2006 17:44 0 sys.txt
22.02.2006 17:39 11.456 system.txt
22.02.2006 17:37 527 systemtemp.txt
22.02.2006 17:30 99.217 system32.txt
22.02.2006 12:23 266.915.840 hiberfil.sys
22.02.2006 12:23 402.653.184 pagefile.sys
19.02.2006 00:30 105 DownloadLog.txt

Und wie gehts jetzt weiter?

Gruß
G. Malloci

#4 Malloci

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.



REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]


----------------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\dnl8013ue.dll
C:\WINDOWS\system32\iwmui.dll
C:\WINDOWS\system32\gp00l3dm1.dll
C:\WINDOWS\system32\gprol3931.dll
C:\WINDOWS\system32\MRIMUSIC.DLL
C:\WINDOWS\system32\szrialui.dll
C:\WINDOWS\system32\stera.job
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\winsysupd91.dat
C:\WINDOWS\gimmygames91.dat
C:\WINDOWS\Z2FiaQ\command.exe
C:\WINDOWS\SwSys2.bmp
C:\WINDOWS\SwSys1.bmp

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

loesche:
C:\WINDOWS\Z2FiaQ

----------------------------------------------------------------------------

L2mfix--> arbeite Option 2 ab --> nach Neustart + Scan poste diesen Scanreport
http://virus-protect.org/l2mfix.html

dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina, ich schon wieder.
Habe hoffentlich alles ausgeführt wie angegeben und die entsprechenden Dateien usw. kopiert.
Warte auf weitere Anweisungen und danke dir schon mal im voraus vielmals für die Zeit die du für mich aufbringst.
Gruß
G. Malloci


L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Run]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\mv0ul9d91.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{047239AF-2AB3-D126-1D46-70ABF4576339}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite f�r vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}"="RecordNow! SendToExt"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"
"{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}"=""
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\InprocServer32]
@="C:\\WINDOWS\\system32\\oheprn.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
avsda.dll Wed 18 Jan 2006 13:05:54 A.... 57.344 56,00 K
browseui.dll Thu 24 Nov 2005 0:58:28 A.... 1.022.464 998,50 K
fndrclnr.dll Wed 22 Feb 2006 20:59:54 ..S.R 235.317 229,80 K
gdi32.dll Thu 29 Dec 2005 3:54:38 A.... 280.064 273,50 K
j80sli~1.dll Wed 22 Feb 2006 21:22:56 ..S.R 237.025 231,47 K
legitc~1.dll Thu 12 Jan 2006 11:32:12 A.... 543.496 530,76 K
mshtml.dll Thu 24 Nov 2005 0:58:28 A.... 3.013.632 2,87 M
mv0ul9~1.dll Wed 22 Feb 2006 21:14:56 ..S.R 235.317 229,80 K
oheprn.dll Wed 22 Feb 2006 21:22:56 ..S.R 235.317 229,80 K
shdocvw.dll Thu 1 Dec 2005 4:31:06 A.... 1.492.480 1,42 M
uvaprop.dll Wed 22 Feb 2006 20:37:12 ..S.R 234.828 229,32 K
wcw32.dll Wed 22 Feb 2006 20:44:38 ..S.R 235.317 229,80 K
webclnt.dll Wed 4 Jan 2006 4:35:02 A.... 68.096 66,50 K
wmp.dll Tue 6 Dec 2005 6:02:16 A.... 5.533.696 5,28 M
wphtcpip.dll Wed 22 Feb 2006 20:11:42 ..S.R 234.272 228,78 K
wv2time.dll Wed 22 Feb 2006 20:24:04 ..S.R 234.322 228,83 K

16 items found: 16 files (8 H/S), 0 directories.
Total of file sizes: 13.892.987 bytes 13,25 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\System32

22.02.2006 21:22 235.317 oheprn.dll
22.02.2006 21:22 237.025 j80slid7180.dll
22.02.2006 21:14 235.317 mv0ul9d91.dll
22.02.2006 20:59 235.317 fndrclnr.dll
22.02.2006 20:44 235.317 wcw32.dll
22.02.2006 20:37 234.828 uvaprop.dll
22.02.2006 20:24 234.322 wV2time.dll
22.02.2006 20:11 234.272 wphtcpip.dll
20.02.2006 21:04 <DIR> dllcache
13.04.2005 18:03 <DIR> %SystemDrive%
17.11.2004 01:39 <DIR> Microsoft
30.09.2004 22:28 8.192 Thumbs.db
9 Datei(en) 1.889.907 Bytes
3 Verzeichnis(se), 70.927.171.584 Bytes frei



L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgef�hrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 544 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 652 'winlogon.exe'
Killing PID 652 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 244 'explorer.exe'
Killing PID 244 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1480 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
Deleting: C:\WINDOWS\system32\dwgeng.dll
Successfully Deleted: C:\WINDOWS\system32\dwgeng.dll
Deleting: C:\WINDOWS\system32\fndrclnr.dll
Successfully Deleted: C:\WINDOWS\system32\fndrclnr.dll
Deleting: C:\WINDOWS\system32\j80slid7180.dll
Successfully Deleted: C:\WINDOWS\system32\j80slid7180.dll
Deleting: C:\WINDOWS\system32\jtn4075qe.dll
Successfully Deleted: C:\WINDOWS\system32\jtn4075qe.dll
Deleting: C:\WINDOWS\system32\uvaprop.dll
Successfully Deleted: C:\WINDOWS\system32\uvaprop.dll
Deleting: C:\WINDOWS\system32\wcw32.dll
Successfully Deleted: C:\WINDOWS\system32\wcw32.dll
Deleting: C:\WINDOWS\system32\wphtcpip.dll
Successfully Deleted: C:\WINDOWS\system32\wphtcpip.dll
Deleting: C:\WINDOWS\system32\wV2time.dll
Successfully Deleted: C:\WINDOWS\system32\wV2time.dll

msg11?.dll
0 Datei(en) kopiert.



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Installer]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\j80slid7180.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\dwgeng.dll
C:\WINDOWS\system32\fndrclnr.dll
C:\WINDOWS\system32\j80slid7180.dll
C:\WINDOWS\system32\jtn4075qe.dll
C:\WINDOWS\system32\uvaprop.dll
C:\WINDOWS\system32\wcw32.dll
C:\WINDOWS\system32\wphtcpip.dll
C:\WINDOWS\system32\wV2time.dll

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\InprocServer32]
@="C:\\WINDOWS\\system32\\dwgeng.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}"=-
"{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}"=-
[-HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}]
[-HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/dwgeng.dll (164 bytes security) (deflated 5%)
adding: dlls/fndrclnr.dll (164 bytes security) (deflated 5%)
adding: dlls/j80slid7180.dll (164 bytes security) (deflated 5%)
adding: dlls/jtn4075qe.dll (164 bytes security) (deflated 4%)
adding: dlls/uvaprop.dll (164 bytes security) (deflated 5%)
adding: dlls/wcw32.dll (164 bytes security) (deflated 5%)
adding: dlls/wphtcpip.dll (164 bytes security) (deflated 4%)
adding: dlls/wV2time.dll (164 bytes security) (deflated 4%)
adding: backregs/A51AE9E2-2B21-40EB-81AC-A1F84D531F82.reg (188 bytes security) (deflated 70%)
adding: backregs/ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0.reg (188 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)


Logfile of HijackThis v1.99.1
Scan saved at 22:03:38, on 22.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\agfguard.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\gabi\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ISDN Guard.lnk = C:\WINDOWS\agfguard.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140465851312
O17 - HKLM\System\CCS\Services\Tcpip\..\{F83AD358-3351-4377-9190-E708AB83F8A2}: NameServer = 195.247.247.195 62.27.27.62
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\j80slid7180.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#6 öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\j80slid7180.dll (file missing)

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Spysweeper scanne und poste den scanreport
http://virus-protect.org/spysweeper.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hallo sabina,

ich habe leider keine ahnung, welchen link bzw welche version ich nutzen sollte.
ich habe jedenfalls den scan durchgeführt, finde aber nirgends einen report, den ich schicken könnte.
unter dem menü "results" kann ich nichts lesen, weil ich dafür die registrierte version brauche.

das einzige, was ich habe, ist dieses hier:

Also sweeping: Memory, Cookies, Registry
Spy Cookie found: 2o7.net cookie
Spy Cookie found: atwola cookie
Adware found: isearch desktop search
Adware found: look2me
Full Sweep has completed. Elapsed time 00:08:32
Traces Found: 5

kannst du damit etwas anfangen oder mir weiterhelfen?

tut mir leid, wenn ich mich zu doof anstelle :o)

gruß malloci

#8 ist o.k. ...das Tool hat den look2me gefunden
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hallo sabina,

ich schon wieder. hier der scanreport von panda:


Ereignis Zustand Standort

Adware:adware/swimsuitnetwork Nicht desinfiziert C:\WINDOWS\SYSTEM32\MYDLL.dll
Potenziell unerwünschtes Tool:application/winantivirus2006 Nicht desinfiziert C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\WinAntiVirus Pro 2006
Adware:adware/dollarrevenue Nicht desinfiziert Windows-Registry
Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[.findwhat.com/]
Adware:Adware/CommAd Nicht desinfiziert C:\!KillBox\command.exe
Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[]
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[dcsncwimc10000kzgoor3wv9x_3f2v]
Spyware:Cookie/Hbmediapro Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[dwgeng.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[fndrclnr.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[j80slid7180.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[jtn4075qe.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[uvaprop.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[wcw32.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[wphtcpip.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[wV2time.dll]
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\dwgeng.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\fndrclnr.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\j80slid7180.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\jtn4075qe.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\uvaprop.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wcw32.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wphtcpip.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wV2time.dll
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix(2).exe[Process.exe]
Spyware:Spyware/Virtumonde Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Eigene Dateien\gedichte.zip[setup.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\Cache\C16DFCFBd01[Process.exe]
Spyware:Cookie/2o7.net Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@2o7[2].txt
Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@adtech[2].txt
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@doubleclick[1].txt
Security Risk:HackTool/Gendel.A Nicht desinfiziert C:\gendel32.exe
Potenziell unerwünschtes Tool:Application/HideWindow.A Nicht desinfiziert C:\hp\bin\FondleWindow.exe
Potenziell unerwünschtes Tool:Application/KillApp.B Nicht desinfiziert C:\hp\bin\KillIt.exe
Potenziell unerwünschtes Tool:Application/KillApp.A Nicht desinfiziert C:\hp\bin\Terminator.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\Mozilla Firefox\l2mfix\Process.exe
Security Risk:HackTool/Gendel.A Nicht desinfiziert C:\Programme\Packs World GOLD\setup\gendel32.ex_
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc13\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc14.exe[Process.exe]
Adware:Adware/Look2Me Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc3.dll
Adware:Adware/Look2Me Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc4.DLL
Adware:Adware/Look2Me Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc7.dll
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\Process.exe
Adware:Adware/CommAd Nicht desinfiziert C:\WINDOWS\Z2FiaQ\asappsrv.dll
danke und gruß
g. malloci

#10 Malloci

C:\Dokumente und Einstellungen\gabi\Eigene Dateien\gedichte.zip--> damit ist ein Teil der malware auf den PC gekommen.............

0. wende Vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

1.
leere den Papierkorb

2.
loesche mit der Killbox: http://virus-protect.org/killbox.html

C:\WINDOWS\SYSTEM32\MYDLL.dll
C:\WINDOWS\Z2FiaQ\asappsrv.dll
C:\WINDOWS\system32\fwsvc.sys
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\wa6p_compwiz.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll
C:\Programme\WinAntiVirus Pro 2006\winpgi.dll
C:\Programme\WinAntiVirus Pro 2006\AsAgents.dll
C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
C:\Programme\WinAntiVirus Pro 2006\Support.exe
C:\Programme\WinAntiVirus Pro 2006\Updater.exe
C:\Programme\WinAntiVirus Pro 2006\winav.exe
C:\Programme\WinAntiVirus Pro 2006\manual.exe
C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll
C:\Programme\WinAntiVirus Pro 2006\pv.exe
C:\Dokumente und Einstellungen\gabi\Eigene Dateien\gedichte.zip
C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc3.dll
C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc4.DLL
C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc7.dll
C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc14.exe
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\dwgeng.dll
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\fndrclnr.dll
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\j80slid7180.dll
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\jtn4075qe.dll
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\uvaprop.dll
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wcw32.dll
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wphtcpip.dll
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wV2time.dll
C:\gendel32.exe

3.
loesche manuell im abgesicherten Modus
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\WinAntiVirus Pro 2006
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Programme\WinAntiVirus Pro 2006
C:\WINDOWS\Z2FiaQ
C:\Programme\Packs World GOLD
C:\hp

4.
scanne mit ewido und poste den scanbericht
http://virus-protect.org/ewido.html

5.
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

WinAntiVirus Pro 2006

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

Firewall service

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
------------------------------------------------------------------------



winantivirus pro 2006--> ist der Grund fuer alle Probleme....
http://virus-protect.org/artikel/spyware/winantivirus_%20pro_%202006.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hallo sabina,

bei VundoFix.exe wurde nichts gefunden. Meldungen:

Scan = No infected files were found
Remove = No files were found, VundoFix V4.0 wir now close.

Laut Angabe sollten Symbole auf Desktop veschwinden und Frage, ob PC neu gestartet werden soll. Passierte nix. Habe PC trotzdem neu gestartet.

Dann wie angegeben weiter verfahren.

Hier der Scanbericht von ewido:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 13:27:53, 25.02.2006
+ Report-Checksumme: F8DA6BF9

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SearchBar.StockBar -> Adware.Crac*hier nicht!* : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SearchBar.StockBar\CLSID -> Adware.Crac*hier nicht!* : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SearchBar.StockBar\CurVer -> Adware.Crac*hier nicht!* : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SearchBar.StockBar.1 -> Adware.Crac*hier nicht!* : Gesäubert mit Backup
HKU\S-1-5-21-848034317-34100787-1561999644-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Gesäubert mit Backup
C:\!KillBox\asappsrv.dll -> Adware.CommAd : Gesäubert mit Backup
C:\!KillBox\command.exe -> Adware.CommAd : Gesäubert mit Backup
C:\!KillBox\dwgeng.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\!KillBox\fndrclnr.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\!KillBox\j80slid7180.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\!KillBox\jtn4075qe.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\!KillBox\uvaprop.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\!KillBox\wcw32.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\!KillBox\wphtcpip.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\!KillBox\wV2time.dll -> Adware.Look2Me : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und
C:\Dokumente und Einstellungen\gabi\Cookies\gabi@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Cookies\gabi@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/dwgeng.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/fndrclnr.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/j80slid7180.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/jtn4075qe.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/uvaprop.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/wcw32.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/wphtcpip.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/wV2time.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Programme\bfgtoolbar\bfgtoolbar.dll_0_ -> Adware.BHO : Gesäubert mit Backup
C:\Programme\bfgtoolbar\bfgtoolbar1.dll -> Adware.BHO : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc13.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc14.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc15.txt -> TrackingCookie.Addcontrol : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc17.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc18.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc2.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc21.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc27.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc34.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc35.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc36.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc38.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc39.txt -> TrackingCookie.Valueclick : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc43.txt -> TrackingCookie.Etracker : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc49.txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc5.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup

::Report Ende



Registry Search Tool:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "WinAntiVirus Pro 2006" 25.02.2006 13:41:41

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\0\win32]
@="C:\\Programme\\WinAntiVirus Pro 2006\\winpgi.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\HELPDIR]
@="C:\\Programme\\WinAntiVirus Pro 2006\\"

[HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiVirus Pro 2006]

[HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiVirus Pro 2006\Settings]


Nach dem reinkopieren "Firewall Service" kam kein Bericht. Nur folgende Meldung:

Search completed in 21 seconds.
No instances of "Firewall Service" found.

Hoffe, dass ich alles richtig gemacht habe.

Danke und noch einen schönen Samstag.
Gruß
G. Malloci

#12 Malloci

1.
Start-->Ausfuehren--> regedit

bearbeiten --> suchen--> WinAntiVirus Pro 2006

loeschen:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}

HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiVirus Pro 2006

2.
PC neustarten

3.
ueberpruefe ob C:\Programme\WinAntiVirus Pro 2006 deinstalliert und geloescht ist

4.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

5.
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

6.
dann scanne Etrust und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hallo,

habe soweit alles gemacht. Die Datei

C:\Programme\WinAntiVirus Pro 2006

ist nicht mehr vorhanden.

Jedoch
C:\Programme\WinAntiSpyware 2006 Scanner
muss diese auch gelöscht werden?

Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, falls Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken:

Hier kam die Meldung "Webeinstellungen können nicht zurückgesetzt werden".

scanne Etrust und poste den scanreport
Ergebnis:

Scan-Ergebnisse: Scan wurde abgeschlossen. 59518 Dateien wurden gescannt. Keine Viren gefunden.

Datei Infektion Status Pfad
- Keine Infektionen

Wieder mal ein Dankeschön und Gruß
G. Malloci

#14 natuerlich mussdas auch deinstalliert/geloescht werden...es ist der Grund fuer alle Probleme...
C:\Programme\WinAntiSpyware 2006 Scanner

du musst lernen (leider), dass es sogenannte AntispyTools gibt, die keine sind und deinen Rechner zerstoeren

ob der Muell nun WinAntiVirus Pro 2006 heisst oder WinAntiVirus Pro 2006 Scanner...es muss alles restlos geloescht werden !
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hallo sabina,

muss jetzt nochmal ein bisschen dumm fragen: Reicht es aus, wenn ich
C:\Programme\WinAntiSpyware 2006 Scanner
nur einfach aus dem Laufwerk C (und Papierkorb) lösche, oder muss ich nochmal den Weg über

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}

HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiSpyware 2006 Scanner

gehen.

Sorry, wenn ich mich viell. zu dumm anstelle, aber ich aber von sowas überhaupt keine Ahnung.
Und wenn ich dies alles jetzt dann gemacht habe, ist der PC dann wieder "bereinigt" oder muss ich (außer dass ich jetzt besser aufpasse) nochwas machen?

Danke und Gruß
G. Malloci